Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

Đến năm GoldSparrow năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

SideWind là tên được gán cho một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT) đã thể hiện sự quan tâm lâu dài đến khu vực Nam Á. Nhóm hiện đang tham gia vào một chiến dịch tấn công trên diện rộng nhằm vào các mục tiêu trong cùng khu vực đó. Cụ thể hơn, các tin tặc đang cố gắng xâm nhập các thực thể chủ yếu nằm ở Nepal và Afghanistan. Các mục tiêu được xác nhận bao gồm Quân đội Nepal, Bộ Quốc phòng và Ngoại giao Nepal, Bộ Quốc phòng Sri Lanka, Hội đồng An ninh Quốc gia Afghanistan và Phủ Tổng thống ở Afghanistan. Trong các hoạt động của mình, SideWind APT thể hiện khả năng nhanh chóng kết hợp các sự kiện toàn cầu và các vấn đề chính trị cụ thể ở khu vực Nam Á vào các chiến dịch lừa đảo trực tuyến và phần mềm độc hại của họ. Nhóm này đã tận dụng đại dịch COVID-19 trong một số hoạt động đe dọa, trong khi chiến dịch mới nhất cũng bao gồm các liên kết đến một bài báo có tên 'Ấn Độ nên nhận ra Trung Quốc không liên quan gì đến lập trường của Nepal trên Lipulekh' và một tài liệu có tên 'Đại sứ Yanchi Đối thoại với Nepali_Media.pdf. ' Tài liệu có nội dung phỏng vấn đại sứ Trung Quốc tại Nepal về COVID-19, Sáng kiến Vành đai, Con đường và vấn đề lãnh thổ ở quận Humla.

Đánh cắp thông tin xác thực và email lừa đảo

Hoạt động SideWind APT hiện đang diễn ra liên quan đến một số vectơ tấn công nhằm đạt được một số mục tiêu riêng biệt. Đầu tiên, SideWind APT đã tạo ra các bản sao giả mạo của các trang đăng nhập thực tế với mục đích thu thập thông tin đăng nhập của người dùng được nhắm mục tiêu. Ví dụ: các nhà nghiên cứu infosec đã phát hiện ra rằng 'mail-nepalgovnp.duckdns.org' được tạo ra để giả dạng là miền hợp pháp của chính phủ Nepal có tại 'mail.nepal.gov.np.' Sau khi thu thập được thông tin đăng nhập, nạn nhân sẽ chuyển hướng đến các trang đăng nhập thực hoặc đến các tài liệu đã đề cập trước đó thảo luận về các vấn đề nút nóng.

Mặt khác của cuộc tấn công SideWind APT liên quan đến việc phát tán phần mềm độc hại - một mối đe dọa cửa hậu và một kẻ thu thập thông tin, thông qua việc phổ biến các email lừa đảo. Sự lây nhiễm liên quan đến một chuỗi tấn công phức tạp bao gồm nhiều giai đoạn và một số ống nhỏ giọt. Cuộc tấn công có thể theo hai kịch bản khác nhau:

  • Lần đầu tiên phân phối tệp .lnk tải xuống tệp .rtf và tệp JavaScript
  • Lần đầu tiên phân phối tệp lưu trữ .zip có chứa tệp .lnk đe dọa. .Lnk bắt đầu giai đoạn tiếp theo của cuộc tấn công bằng cách tìm nạp tệp .hta bằng JavaScript

Các tệp .rtf khai thác lỗ hổng CVE-2017-11882, cho phép kẻ đe dọa chạy mã đe dọa tùy ý trên thiết bị mà không cần bất kỳ sự tương tác nào của người dùng. Mặc dù cách khai thác cụ thể này đã được khắc phục vào năm 2017, tội phạm mạng vẫn sử dụng nó vì nó có thể ảnh hưởng đến bất kỳ phiên bản chưa được vá lỗi nào của Microsoft Office, Microsoft Windows và các loại kiến trúc từ năm 2000 trở lại đây.

Tuy nhiên, trong cả hai trường hợp tấn công, mục tiêu cuối cùng đạt được thông qua các tệp JavaScript hoạt động như một ống nhỏ giọt cho các tải trọng phần mềm độc hại thực tế.

Khi được triển khai đầy đủ, các công cụ đe dọa của SideWind APT có thể thu thập nhiều loại thông tin khác nhau, cũng như tách lọc các tệp đã chọn vào cơ sở hạ tầng Command-and-Control (C2, C&C) của nhóm. Dữ liệu được thu thập bao gồm chi tiết tài khoản người dùng, thông tin hệ thống, quy trình đang chạy, chi tiết CPU, chi tiết hệ điều hành, chi tiết mạng, chương trình chống vi-rút đã cài đặt, đặc quyền, chi tiết cho tất cả các ổ đĩa được kết nối và ứng dụng đã cài đặt. Mối đe dọa thu thập dữ liệu cũng liệt kê tất cả các thư mục ở bốn vị trí cụ thể:

  • Người dùng \% USERNAME% \ Máy tính để bàn,
  • Người dùng \% USERNAME% \ Tải xuống,
  • Người dùng \% USERNAME% \ Tài liệu,
  • Người dùng \% USERNAME% \ Danh bạ

Chiến dịch Di động đang được Xây dựng

SideWind APT cũng có một chiến dịch tấn công nhằm vào các thiết bị di động của người dùng. Một số ứng dụng đã được phát hiện, với tất cả chúng đều ở trạng thái chưa hoàn thành. Một số chưa có mã đe dọa nhưng được thiết kế để có vẻ hợp pháp nhất có thể. Một ứng dụng như vậy được gọi là 'OpinionPoll' và đang đóng giả là một ứng dụng khảo sát để thu thập ý kiến về tranh chấp chính trị Nepal-Ấn Độ. Các ứng dụng khác đã được triển khai các khả năng đe dọa nhưng vẫn cho thấy dấu hiệu rằng cần phải làm việc nhiều hơn trước khi chúng kết thúc.

Đây không phải là lần đầu tiên SideWind APT sử dụng các công cụ phần mềm độc hại di động trong các hoạt động của họ. Trước đây, họ đã được quan sát để triển khai các ứng dụng đe dọa giả danh người quản lý tệp của các công cụ chụp ảnh. Khi người dùng đã tải xuống chúng, các ứng dụng SideWind APT đã tận dụng khai thác CVE-2019-2215 và các lỗ hổng MediaTek-SU để có được đặc quyền root trên thiết bị bị xâm phạm.

xu hướng

Lừa đảo qua email 'YouPorn'

Spam
Sau khi kiểm tra kỹ lưỡng các email 'YouPorn', các chuyên gia an ninh mạng đã xác nhận bản chất lừa đảo của chúng. Những email này là một phần của nhiều biến thể thư rác khác nhau, tất cả đều giống với các chiến thuật phân tích sextortion. Chủ đề chung trong số các email lừa đảo này là khẳng định bịa đặt rằng người nhận có liên quan đến tài liệu khiêu dâm được đăng gần đây trên trang...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
14,963
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...